XX信息安全管理办法

1、 说明为保护公司信息资产的安全,提高用户的信息安全意识,发挥信息安全管理体系的保护效用，特进行本次修订。本文档总结了XXXX信息安全管理体系和浙江XXXXXX公司、属XX的各大项目组等单位的信息安全需求，描述的信息安全管理制度用于保护XXXX的信息资产，并针对信息资产的使用、用户的安全责任、管控的主要措施及违纪惩处进行了说明。因此，本文要求所有使用XXXXIT服务、软、硬件等信息资产的相关用户必须关注本文的内容。目录1、目的2、适用范围3、原则和前提4、职责5、信息安全管理内容信息资产安全使用第三方人员安全管理物理环境安全访问控制使用互联网通信和操作安全移动设备安全使用信息安全事件知识产权监视

2、策略违纪处理规则秘密XXXX用户信息安全管理办法编号：1、目的本管理办法制订的目的是确保员工、合同工和第三方等用户了解自己的在信息安全方面所承担的职责,减少信息泄密的风险、信息资产的不恰当使用或者滥用、以及减少欺骗和入侵。2、适用范围本办法适用于浙江XXXXXX有限公司，CEVT，属XX的各大项目组成员且使用研发信息资产的组织或用户。术语3、原则遵循公司的信息安全管理体系的要求，覆盖信息资产使用的各个方面，保障信息安全的同时不影响工作效率。4、职责所有员工，合同工和第三方用户应意识到信息是存在威胁和风险的。他们在正常工作时有责任和义务去避免人为错误导致的信息安全风险，而且每个人必须做出贡献来保

3、护公司信息，以便支持公司的信息安全管理策略。信息安全管理制度对于员工的行为负有不可推卸的责任，必须不断完善和更新，以确保信息安全管理制度在所有的工作环境下都能得以适用和遵守。信息资产管理者的职责信息资产管理者信息资产管理者也称为信息资产责任人，对于信息资产负有首要的管理权责，可赋予职责范围内人员存取及使用信息资产的权限和责任，并有权规定信息资产保管人与使用人。信息资产的责任人通常由部门主管或各项目组的组长担任，负责管理和监控员工信息安全管理制度是否有效执行,以支持公司的管理要求。信息资产管理者有责任让员工在他们的监督下,根据本文档中描述的原则了解其保护XXXX信息资产的义务。信息资产管理者应该

4、不定期检查员工帐号和权限，并负责确保职责范围内那些不再需要的账户和账户相关权限被及时移除。当员工调动,职责变更或离职时,信息资产管理者应该确保对该员工的访问权限进行审查。信息资产管理者应该确保员工IT角色和职责足够清楚，确保员工在任何的应用系统中只能得到可以正常操作业务的最小权限，确保员工不得申请超过本岗位职责范围以外的权限。信息资产使用者信息资产使用者获得信息资产管理者适当授权，得以对授权范围内的信息资产浏览、使用、存取及更新的所有用户。信息资产使用者必须认识到公司信息安全管理制度的目的。信息资产使用者对公司提供给自己使用的计算机、笔记本、数据等信息资产的信息安全负行为责任。当使用公司信息资

5、产时,必须按照本制度,以职业化的态度不断地锻炼良好的信息安全判断能力和行为能力.必须遵循公司适用的信息安全相关制度.必须监控、处理、解决或上报遇到的信息资产使用问题.4.2.7信息资产使用者需对公司提供的计算机,移动设备,系统ID和密码等实施适当的控制措施，以防止信息安全事件的发生.4.2.8公司提供信息资产给用户的主要目是用于工作和提升工作效率。在合理的理由、以及不导致IT成本增加的情况下，公司允许将信息资产最小化地用于个人用途。但是绝对不允许使用公司提供的信息资产进行任何非法活动,个人商业目的,或为其他第三方公司服务。5、信息安全管理内容5.1信息资产管理5.1.1信息资产信息资产：信息资

6、产代表公司在业务活动过程中产生的任何信息对象和信息载体。包括公司使用的所有数据和文档，硬件，软件和服务，网络构架，系统文件，物理环境，支持设施以及业务持续计划等。信息资产是我们最有价值的资产之一,公司要求信息资产使用者必须妥善保护。不妥善保护信息资产的行为属于违反公司信息安全制度的行为，此类行为有可能会造成XXXX的严重损失，信息资产使用者和信息资产管理者也会面临纪律处分或法律追究。信息资产分类：硬件：所有的计算机设备，计算机周边设备，网络设备，以及其他辅助设备，如空调，UPS，监控设备等；软件：所有使用的软件程序等；数据和文档：包括各类电子数据，数据库，电子文档以及纸质文档；人员：公司所有的

7、正式员工、临聘员工、外来员工。服务：包括计算和通信服务、通用公用事业，例如：供暖、照明、能源、空调等，也包括咨询，实施等。5.1.3数据资产密级分类：密级般密级描述绝密所属公司内部仅限于特定人员（一般为所属公司最高管理层及信息特定经手人员）或外部特定人员在总裁或以上级别管理人员授权可以获得的信息，该级别信息的泄露对于企业声誉、经营、财务会直接造成重大损失，如：公司并购计划。此级别信息的访问控制遵行最小可控原贝V,即访问权限设为特定身份明确的个人。机密部门或特定内部组织（如项目小组）内部人员，或其他部门及所属公司外部特定人员在副总裁或以上级别管理人员授权后可以获得的信息，该级别信息的泄露对于企业

8、或该部门的声誉、经营、财务会造成直接但不重大的损失，如：部门下一年经营目标。此级别信息的访问控制遵行部门内部开放的默认原则，即默认为部门或特定内部组织所有人员均可访问。秘密所属公司内部人员，或所属公司外部特定人员在部门主管或以上级人员授权后可以获得的信息，该级别信息泄露不直接造成企业声誉、经营、财务上的损失或造成的损失较小，如：所属公司员工通讯录。此级别信息的访问控制遵行公司内部开放的默认原则，即默认为公司内部所有人员均可访问。一般对任何所属公司内部、外部人员和组织均可以公开的信息。如：公司Logo，公司已公开上市的产品目录。此级别信息的访问控制一般不做限制。信息资产使用规范:1）xxxx信息

9、资产的使用行为必须受法律和道德的约束。2）只有公司完全取得使用许可的软件或得到信息资产管理者授权安装的软件，信息资产使用者才可以在公司电脑系统上安装和使用。3）除一般数据外，原则上XXXX不与未经授权的其他任何单位或个人共享数据。对于员工必须授予适当的访问权限，以确保员工应该得到工作所需的信息资产（最小化原则）。4）终端计算机面临较多信息安全威胁，不能存储密级为“秘密”以上的数据资产。5）XXXX提供的信息资产仅限服务于XXXX的业务，不恰当的使用或滥用这些信息资产造成公司成本增加,XXXX对使用该信息资产的员工，合同工或第三方单位有权进行索赔，甚至追究相关法律责任.如果引发其他外部公司的经济

10、损失，或者造成员工，合同工或第三方单位本身的经济损失，XXXX相关公司不承担任何责任。6）XXXX的所有数据资产必须存储在公司及下属公司提供或授权的存储区域和设备上。在未得到XX公司IT部门的授权前，外部存储或数据交换的解决方案（比如微软SkyDrive，百度云盘或其他类似的解决方案）是禁止使用的。数据资产密级度高于“秘密”的，如果传输或存储到外部，必须强制进行加密或授权。第三方的安全管理第三方：包括获得了任意形式的信息资产访问权限，且不直接受雇于公司的个人，或者任何不直接为公司拥有的实体组织。包括供应商，外部服务人员等。当合作过程中涉及第三方单位提供服务时，第三方单位须与公司签订第三方保密协

11、议（NDA）。第三方公司的设备如需访问公司信息资产，须由接待部门提出申请，与第三方用户签订第三方访问信息安全须知，并填写第三方访问信息系统审批表。第三方的设备如需访问互联网，须由接待部门提出无线网络访问申请或网络服务申请表，向网络管理员提供申请时间、理由、MAC地址后，经过授权后开通，开通期限实际需要为准，但不能超过一年。第三方人员来访，须接待人员到大门口亲自接送，并做好登记工作；在与第三方人员接触时，接待人应采取必要的保护措施防止敏感的信息资产被外来人员获取。例如未经许可，严禁接触或使用员工工作区内的任何设施物品，包括文件、桌面电脑、网线、电话等，接待人员有义务事前告知并监督、报告、制止相关

12、行为；第三方人员离开时，保卫人员有权对离开的第三方人员带出的可疑物进行检查。物理环境安全在办公区域佩戴清晰的员工工作证，当身份不明的人要求您打开大门让他进来时，您有责任确认他/她的身份和进入目的。门禁卡只能由本人自己保管，不能转借他人使用，禁止使用自己的门禁卡将非授权人员（包括第三方和公司内部人员）带入到办公区域；使用人门禁卡丢失后，应第一时间报告门禁系统管理员。员工不得将敏感信息文件直接放置于办公桌上。所有的终端电脑，包括台式机和笔记本电脑，员工在电脑桌面上不得存放和公司业务有关的敏感信息。打印、复印或传真文件若涉及到非公开信息（绝密、机密及秘密），用户应密切留意设备操作的情况，并及时从设备

13、中提取所有文件。禁止任何员工，合同工或第三方用户使用个人相机或手机拍照，公司提供的拍照设备需在授权区域和时间限制内进行拍照。会议室使用完毕，应及时将白板擦拭干净，关闭投影，并取走带入会议室的所有物品，防止敏感信息外泄。员工需要及时通过碎纸机、消磁机等彻底方式销毁废弃的敏感文件，减少敏感性信息外泄的机会。如果设备在处理公司敏感信息时出现故障，相关人员不应离开该设备，直至资料被移除或清理为止。离开电脑时，员工的计算机桌面应通过锁定系统，启动带有密码的屏幕保护程序等措施。屏保时间设置在5分钟，确保其他人员不能操作系统。在员工长时间离开办公室或下班时，员工需要将敏感的文档及移动存储介质放置于带锁的柜子

14、内存放。公司员工在做信息交流时必须注意机密信息可能会无意识的泄漏，例如：固定电话或手机通话中；隔墙窃听；在语音电话中留下机密信息；发传真给未知号码；社会工程学等。因此员工不得在公共场所、开放办公室、会议室进行涉及公司机密的交谈。公司IT资产（非笔记本等移动设备和媒介）出门必须得到授权批准，且IT部门检查无涉密数据的情况下，保卫人员方可放行。5.4访问控制为防止信息资产的滥用，信息资产的管理者必须根据信息资产使用者的需求，在策略所允许及自身权限范围之内，提供用户访问信息资产的资源和权限。5.4.1用户访问控制所有核心业务系统的超级用户账号必须至少每年检查一次，包括使用目的，使用时间和密码的强度。

15、超级用户的账号必须是根据员工工作职责、业务需求、和使用时间进行分配。用户负责所有与他们的系统账户有关的行为。如果XXXX任何用户认识到因为任何原因,他们的信息资产的凭证（用户id或密码令牌等）被破坏或滥用,他们必须立即更改密码并报告事件到IT部门。公司提供给个人的系统账户必须自己使用。禁止员工在任何原因下共享个人id和密码给其他人。同时也不能使用其他用户共享给自己的id和密码。对于特殊原因需要多人共享同一账号时，必须经过批准并形成文件记录。当有员工转岗或离职时，人力资源需第一时间以流程或邮件等正式方式通知IT部门进行各系统账户，权限等重新分配，收回公司信息资产，避免调动过程中引起的信息安全事件

16、发生。5.4.2用户密码的管理密码保护是用户登录帐户的第一道防线,因此密码应仔细选择.遵循从不共享和以下最佳实践的原则:密码长度必须至少8位，且为至少包含数字、字母、特殊符号的字符串。用户第一次登录时，必须修改密码。密码的有效期是90天，到期后用户必须修改。密码应有记录保留功能，新密码不能与前3个密码相同。密码禁止有书面记录或张贴，不得设置系统密码的自动记忆功能。临时授权他人使用密码时，应保留授权凭证，并及时修改密码。不允许在XXXX信息系统上使用和私人用途或其他第三方信息系统相同的密码。如果一旦出现有组织或个人通过电话,电子邮件或其他方式请求或希望得到用户的个人密码,用户一定不能透露自己的密

17、码,并立即报告事件到IT部门。密码所有者对所有使用自己id和密码的操作、过程或动作行为负责。例如诊断故障时，需要在其它人面前输入自己的密码,密码所有者必须亲自登录，观察所有对于他的id和密码的执行动作。在需要知道系统的具体使用者的情况下，GroupIDs（如不止一个人执行相同的工作职能，但是人员会发生变化或轮值）是禁止使用的。GroupID的保管者对账户的使用负第一责任。使用公司内部网络公司内部网络是指公司内部的有线和无线局域网（LAN）,公司内部供用户直接使用的网络分为研发，办公和公共网段。三个网段之间无法互相通讯和传输数据。研发网段用于设计，分析测试，工艺等保密性较强的研发部门，原则上禁止

18、与互联网直接连接，除非得到IT部门授权且授权仅通过公司提供的代理服务访问指定的安全受信网站地址。办公网段用于行政管理部门和以管理职能为主的人员，在得到IT部门授权的情况下才可以连接到互联网。公共网段用于外部人员临时使用，只能访问互联网，禁止访问任何内部系统。所有XXXX信息资产或其他外部设备需要接入XXXX网络（无论有线或无线），无一例外都必须事先从IT部门获得批准。禁止将移动设备或任何不受信任的设备（如非XXXX设备或私人设备）接入XXXX研发网段，移动设备只能接入到办公或公共网段。所有计算机接入公司研发或办公网络前都应安装终端管理软件并加入集团域。所有计算机接入公共网段需自己确保自己设备的

19、安全性，确保不对公司网络造成威胁。当从互联网访问XXXX内部网络和系统时，所有访问必须使用XXXX的远程访问解决方案（如VPN或Citrix）。XXXX提供的远程访问服务技术上可以对从互联网访问XXXX内部网络和系统增加保护。但是同时,电脑和其他设备一旦安装了远程访问服务软件的话,出于保护XXXX内部网络和系统的目的,使用者必须对这些设备进行恰当的锁定和保护。使用互联网互联网是一个很好的信息调查来源,可以使工作更有效率。另一方面,互联网的使用也带来了许多威胁,所以互联网的使用要注意以下一些方面。互联网是一个公共场所，当你使用XX的网络访问互联网时，你代表的是XXXX而不是个人。因工作岗位需要开

20、通常规因特网访问权限的，需提交网络服务申请流程，因工作岗位需要开通公司禁止访问的互联网网站（如娱乐类，视频类，购物类，股票类，社交类等）时，需提交外网特殊权限申请流程。在公司内，由公司提供的设备只能使用公司提供的因特网服务，禁止私自将公司提供的设备接入非公司授权的因特网服务。以上行为包括但不限于如拔号、代理、ADSL、CDMA、GPRS、3G以及通过其他手段将公司提供的互联网转化为Wifi等共享方式使用等。员工需谨慎访问互联网,XX人员必须遵守自己所在地国家和互联网网站所在国家的法律和伦理道德的要求。严禁在任何XXXX电脑或信息设施中浏览、下载、处理或滥用被认为可能是非法的或攻击性质材料（包括

21、但不限于任何材料，比如色情、谩骂、种族、性取向、国籍、性别、残疾、宗教或政治信仰等）。因为一旦涉及以上材料可能导致刑事起诉。公司任何电子邮件中也禁止出现上述内容。员工应该具备职业化的行为来保护XXXX信息，禁止在互联网发布公司的涉密信息。当以私人方式使用社交媒体时，不要让别人认为你发布内容可能代表XXXX公司。当公司授权以公司名义使用社交媒体时，员工仅能以他们日常工作中相同的角色和资格来发表代表XXXX的言论。对于开通互联网的，禁止在工作时间浏览与本职工作无关的网站。对于开通聊天工具的，该聊天工具只限于工作联系使用，不能用于私人话题的闲聊。除IT部门人员外，其他员工不允许私自从因特网下载和安装

22、软件。员工所有从因特网下载的文件，图片等，在打开和安装之前，必须先经过病毒检查。通信和操作安全病毒保护IT部门统一部署防病毒软件，员工只能使用公司提供的防病毒软件。如果有例外，必须先得到IT部门的许可。防病毒软件的要求包括以下几点：员工必须要一直开启防病毒软件保护功能，任何人不得私自修改防病毒软件设置，不得关闭或卸载防病毒软件的实时检测功能。员工必须确保防病毒软件版本更新到最新，如果发现病毒库过期无法更新应立即报告IT部门进行处理。员工在感觉到有病毒威胁时需立即执行防病毒软件的快速检查任务或全盘检查任务，并且应该每月至少执行一次针对整个硬盘的防病毒软件检查任务，以确保电脑的健康运行。5.6.2

23、数据备份因为服务器有备份的支持服务，所以所有的重要数据和涉密数据应该存储在服务器上，而不应存储在个人电脑上。用户负责定期备份其个人计算机上有价值的数据。5.6.3媒介的处理和操作cd、dvd或U盘等不明来源与不明用途的媒介,禁止在未经授权的情况下连接到公司设备。公司授权给个人使用的移动媒介需妥善保管和使用，对涉密信息的移动设备必须进行加密处理；不允许将敏感信息拷贝在U盘等移动媒介；不要与他人共享使用移动媒介；当磁盘（包括硬盘，软盘和磁带）不再使用并进行报废处理时，必须提醒IT部门对其中的数据进行销毁。5.6.4电子邮件电子邮件必须被当作正式通信的沟通方式,其内容和语言的使用必须符合公司的政策。

24、任何人发送的电子邮件都可能会被第三方或其他组织很方便的存储和归档下来,用于搜索和使用很长一段时间。电子邮件等信息有可能会导致其他组织对XXXX采取法律行动,任何滥用或粗心的使用电子邮件,可能都会产生诽谤的说法或违反保密合同。当使用XXXX电子邮件系统时应关注的执行方法：XXXX的信息沟通平台，包括电子邮件是提供给XXXX集团员工（或其他人员）合法的商业目的使用的。任何员工均可以在入职时获得公司提供的邮件地址，所有从XXXX提供的电子邮件系统发出的沟通邮件必须使用有效的XXXX的电子邮件地址。禁止掩盖、歪曲或伪造电子邮件地址或使用第三方其他邮件系统处理XXXX相关业务。员工使用公司邮件系统创建、

25、发送和接收邮件时，必须清楚知道以下几点：公司邮件系统的主要用途是发送和接收和公司业务有关的邮件。禁止使用公司邮件系统发送广告、宗教、政治宣传或和工作无关的其他活动；禁止使用公司邮件系统发送或转发有攻击性或攻击倾向的邮件，包括带有骚扰，种族歧视，性别歧视或色情暗示等内容；所有发送的邮件必须在页尾标有公司批准的法律申明。接收到触犯国家法律法规的邮件应立即上报IT部门，由IT部门对邮件地址进行屏蔽；攻击XXXX的言论材料不得转发或分配给内部或外部人员,除非这个转发或再分配是XXXX指定、授权或出于调查员工满意度发起的。员工和所有第三方公司,团体,个人正式沟通时,必须能够验证对方电子邮件是一个合法的电

26、子邮件。（这条是为了降低被欺骗的风险，提高员工信息安全意识）所有带有绝密数据的邮件必须在得到授权后才能加密发送；用户不应该打开可疑邮件中来自未知或不明来源的附件或者链接，接收邮件后必须立即进行杀毒，确保邮件无病毒感染；用户应定期对邮件系统的资料进行归档，并及时清除垃圾邮件；出于商业目的的重要邮件除了必须存档外,也必须存储在邮件服务器上以便进行安全的邮件备份所有通过公司邮件系统创建、发送和接收的邮件，公司有权进行检查、存储和监控；电子邮件内容文件记载了战略决策,行动或交易数据,这些都是正式的公司信息记录,根据信息安全体系管理规定,这些信息必须得到控制和留存,并且在这些信息保存期结束的时候,IT部

27、门会进行重点的尽职分析评估。移动设备安全无论是在公司内，还是在公司以外的任何地方，员工有责任保障公司提供的移动设备如笔记本，平板电脑，手机等安全。员工不得自行取消或禁止所属公司预设的安全设置。在任何地方,存储公司信息的便携式计算机和移动设备不得在无人值守的情况下离开视线范围之外,特别是在XX内、酒店客房或其他公共场所。使用者必须意识到在公司外面存在的各种信息安全威胁，采取恰当的手段确保满足公司安全策略，对设备安全负第一责任，防止发生遗失，泄密，中毒等情况。如果设备被盗、损坏或丢失,用户必须立即报告。如因员工个人原因造成的设备丢失、损坏，除按照设备财务残值进行赔偿外，还应对因设备丢失、损坏造成的

28、其他损失进行赔偿。原则上，除了记录电话号码，工作日程和工作提醒，员工不得使用个人掌上电脑或智能手机处理，发送和接收与公司有关的绝密和机密级别的信息。对于员工确认因业务及工作需要使用如掌上电脑、智能手机等设备，需要得到所属公司管理层的授权批准后才可以使用。如果使用了智能手机等移动设备收发公司邮件，处理流程和访问部分公司信息系统等，可能会在移动程序内缓存公司的敏感数据，因此使用者必须对手机设置密码，在手机丢失或送修时必须第一时间报告IT部门进行数据擦除。信息安全事件信息安全事件信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性。信息安全事件汇

29、报一旦发现违规或信息安全事件，所有人员必须及时向他们的直属负责人和IT部门报告。这些事件包括但不限于：可疑的进程或应用，未知的网络连接，屡次的登陆失败，登陆的不一致性或者文件的破坏等。信息安全事件等级和处理信息安全事件按照给公司带来的经济损失和名誉的影响分为：一级信息安全事件、二级信息安全事件、三级信息安全事件、四级信息安全事件四类。一级信息安全事件：影响个别业务范围，发现存在影响范围很小的信息安全隐患。例如桌面放置敏感信息，密码复杂度不合规，打印件未及时取走等。判定为一级的信息安全事件由所属公司IT部门直接负责组织相关部门处理，并对相关部门提出警告。二级信息安全事件：秘密数据已经发生泄密、丢

30、失或破坏，业务系统及其支撑设施中断产生影响在可控范围内。例如私自使用U盘拷贝秘密数据，使用互联网上载秘密数据，个人原因造成数据丢失，密码共享给他人等。判定为二级的信息安全事件且属于员工违反信息安全制度的，由所属公司IT部门展开相关证据收集，并按照公司相关管理制度呈递证据，事件处理完毕后保留信息安全事件处理记录。三级严重信息安全事件：机密数据泄密、丢失或破坏或网络、应用系统中断在可容忍时间以上，已造成关键业务短时间中断，影响业务正常进行的事件。例如私自使用U盘拷贝机密数据，使用互联网上载公司机密数据，个人原因造成机密数据丢失等。四级重大信息安全事件：对公司业务产生不可恢复的影响、数据丢失造成公司

31、绝密信息泄露、对公司经济和名誉造成重大损失的。例如私自使用U盘拷贝绝密数据，使用互联网上载公司绝密数据，个人原因造成服务器或系统绝密数据丢失等。判定为三、四级的信息安全事件且涉及到诉讼，需要对个人或组织进行起诉时，所属部门配合本公司法务等部门收集、保留和传递证据，事件处理完毕后，由IT部门对事件进行分析并提交相应报告至公司最高层领导。非常严重的事故,敏感或机密的事件，举报者可以选择匿名举报。知识产权当使用公司计算机或网络资源时,必须尊重知识产权。复制,转发,或以其他任何方式再次发表或重新分配任何文字,图像或其他受版权保护的材料,必须得到知识产权所有者的许可（如作者和出版商）。使用者必须假定所有公共互联网上的材料都是有版权的,除非专门公告了其版权状态。版权所有者如果打算强制保护他们的版权的话，不需要提前发布通知。XXXX政策和法律要求,必须经版权所有者许可后,其受版权保护的作品才可以复制,张贴,或应用于XXXX的创作材